10秒后自動(dòng)關(guān)閉
如何提升財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)安全(用友、泛微、通達(dá))

大部分公司都有自己的財(cái)務(wù)系統(tǒng)和ERP系統(tǒng),并都購(gòu)買自第三方服務(wù)商,如用友、泛微和通達(dá)等。


這些系統(tǒng)功能非常強(qiáng)大,能幫助企業(yè)大幅提升運(yùn)營(yíng)能力。但也正因?yàn)楣δ軓?qiáng)大,漏洞也就比較多。并不是說這些服務(wù)商開發(fā)實(shí)力不行,而是只要稍微復(fù)雜點(diǎn)的系統(tǒng),漏洞就在所難免。就連微軟這樣的巨無霸公司,漏洞也從來沒有停止過。


目前這些知名的財(cái)務(wù)系統(tǒng)和ERP系統(tǒng),在互聯(lián)網(wǎng)隨處可以搜索到漏洞播報(bào),官方也在不斷發(fā)布修復(fù)補(bǔ)丁。但即使官方不斷發(fā)布補(bǔ)丁,依然有很多系統(tǒng)被黑客入侵,被植入惡意代碼或者加密勒索。要徹底解決黑客入侵威脅,我們還應(yīng)該部署一些必要的防護(hù)措施。


下面我們就用最簡(jiǎn)單的方法、最低廉的成本,徹底解決安全威脅問題。

財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)通常都只對(duì)內(nèi)部員工開放,那么我們只需要從物理層面限制“只允許內(nèi)部員工訪問系統(tǒng)”,就能解決99.99%的入侵威脅。

所謂物理層面,是指不依賴財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)自身的身份驗(yàn)證模塊,而采用第三方驗(yàn)證系統(tǒng),讓黑客無法繞過身份驗(yàn)證。為此我們需要用到一款專業(yè)的主機(jī)安全防護(hù)軟件:『護(hù)衛(wèi)神·防入侵系統(tǒng)』(如圖一)。該系統(tǒng)是一款綜合性的安全防護(hù)系統(tǒng),具有上百個(gè)防護(hù)模塊,可以對(duì)主機(jī)和網(wǎng)站進(jìn)行全方位的保護(hù)。

fangruqin.png

(圖一:護(hù)衛(wèi)神.防入侵系統(tǒng)管理面板)

下面我們就來實(shí)戰(zhàn)兩步解決財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)安全問題!


一、使用零信任,杜絕外部威脅

所謂零信任,即“誰也不信任”。零信任的詳細(xì)說明請(qǐng)點(diǎn)這里:https://mp.weixin.qq.com/s/c2wh5t5qwtVYOGqG03LrjA


◆ 傳統(tǒng)的身份驗(yàn)證

用戶先訪問系統(tǒng),再進(jìn)行身份驗(yàn)證(如圖二)。此模式的缺點(diǎn)是一旦系統(tǒng)有漏洞,黑客可能繞過身份驗(yàn)證,直接入侵系統(tǒng)。


lianjie.jpg

(圖二:先允許訪問,再驗(yàn)證身份)


◆ 物理層面的零信任防護(hù)

先驗(yàn)證身份,再連接系統(tǒng)(如圖三)。即使系統(tǒng)有漏洞,黑客也接觸不到該漏洞,也就無從入侵了,安全性大幅提升。

renzheng.png

(圖三:先驗(yàn)證身份,再允許訪問)



要啟用零信任防護(hù),限制“只允許內(nèi)部員工訪問系統(tǒng)”,只需要安裝『護(hù)衛(wèi)神·防入侵系統(tǒng)』后,開啟“防火墻”模塊(如圖四);此時(shí)服務(wù)器對(duì)外呈關(guān)閉狀態(tài),必須經(jīng)過『護(hù)衛(wèi)神·防入侵系統(tǒng)』授權(quán)驗(yàn)證后,才能訪問服務(wù)器。

注意:注冊(cè)軟件后,會(huì)有一個(gè)面板管理地址,這個(gè)面板地址后續(xù)會(huì)用到。

fanghuoqiang.png

(圖四:防火墻只開放了遠(yuǎn)程桌面端口)


此時(shí)所有人都將無法進(jìn)入財(cái)務(wù)系統(tǒng)和ERP系統(tǒng),接下來還需要為員工分配授權(quán)賬戶,添加方法:在“系統(tǒng)設(shè)置-賬戶管理-添加賬戶”(如圖五),權(quán)限建議選擇“其他”。

tianjiazhanghu.png

(圖五:添加授權(quán)賬戶)



添加賬戶以后,員工只需要登錄上述的“面板地址”,并輸入添加的賬戶密碼登錄,就可以訪問財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)了。


如果內(nèi)部員工太多,每個(gè)人都分配賬戶,那工作量確實(shí)有點(diǎn)大,有更簡(jiǎn)單的辦法嗎?

肯定有的。因?yàn)楹诳秃湍鞘械目赡苄詭缀鯙榱悖覀兙涂梢葬槍?duì)城市授權(quán),例如“只允許成都地區(qū)用戶訪問系統(tǒng)”。

設(shè)置方法:在『護(hù)衛(wèi)神.防入侵系統(tǒng)』的防火墻模塊,添加入口規(guī)則,端口為財(cái)務(wù)系統(tǒng)或ERP系統(tǒng)使用的端口,地區(qū)添加您所在城市(如圖六)。設(shè)置后您所在城市的用戶均能訪問系統(tǒng),而其他地區(qū)用戶均不能訪問。對(duì)于經(jīng)常出差的員工,單獨(dú)分配授權(quán)賬戶即可解決。

tianjiaquyu.png

(圖六:只允許成都用戶訪問8088端口)


二、使用WAF,解決內(nèi)部威脅

解決了外部威脅,還需要同步解決內(nèi)部威脅,方可徹底解決安全問題。

內(nèi)部威脅是指內(nèi)部員工發(fā)起的入侵行為。

內(nèi)部威脅攻擊方式主要有“SQL注入攻擊”和“XSS跨站攻擊”,對(duì)數(shù)據(jù)進(jìn)行篡改、拖庫(kù)等破壞行為。

『護(hù)衛(wèi)神.防入侵系統(tǒng)』的“網(wǎng)站防護(hù)”模塊實(shí)則是WAF(網(wǎng)站應(yīng)用防火墻),具有數(shù)十個(gè)防護(hù)模塊,可以全方位的保護(hù)網(wǎng)站安全。財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)基本上都是PHP語言開發(fā),本質(zhì)就是一個(gè)網(wǎng)站系統(tǒng)。因此通過“網(wǎng)站防護(hù)”模塊,可以全面解決內(nèi)部安全威脅。


我們只需要開啟『護(hù)衛(wèi)神.防入侵系統(tǒng)』的“網(wǎng)站防護(hù)”模塊,即可自動(dòng)開啟SQL注入防護(hù)和XSS跨站擊防護(hù)(如下圖七)。

SQL.png

(圖七:SQL注入防護(hù))


攔截效果如下(圖八):

lanjieSQL.png

(圖八:攔截XSS攻擊)


如果您對(duì)系統(tǒng)安全有更嚴(yán)苛的要求,還可以使用“篡改防護(hù)”模塊,對(duì)財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)做嚴(yán)格的防篡改保護(hù),具體方法因系統(tǒng)而異,建議聯(lián)系護(hù)衛(wèi)神的工程師免費(fèi)幫您處理。如果您有其他安全困惱,也可以聯(lián)系護(hù)衛(wèi)神工程師免費(fèi)幫您分析!


本文到此就結(jié)束了,只需要兩步就可以徹底解決財(cái)務(wù)系統(tǒng)和ERP系統(tǒng)的安全威脅,是不是非常簡(jiǎn)單呢!